Upload
ramvic
View
51
Download
3
Embed Size (px)
Citation preview
0 -
Fernando Ferrer Olivares CISA, CISM, PMP, CCSA
COBIT Trainer Accredited By ISACA and APMG Enero de 2014
10/02/2014 1
COBIT 5 El estado actual de la familia de
productos COBIT 5
0 -
Fernando Ferrer Olivares Ingeniero de Sistemas y Computacin Especialista en Auditora de Sistemas de Informacin Programa de Gerencia Estratgica en Informtica CISA, CISM, CCSA, PMP, CFC 4.1 y 5, COBIT Trainer Accredited by ISACA and APMG Profesional Experto Banco de la Repblica Socio Fundador FERROL International Group Participante en varios Comits de ISACA y Presidente Actual ISACA Bogot Ms de 25 aos de experiencia como Consultor, Profesor Universitario y Expositor en Eventos Nacionales e Internacionales (IT/Governance, Auditora, Seguridad Informtica, Gestin, Controles y Desarrollo Organizacional) [email protected] ; [email protected] ; 57-1-2203785 o 57-3142950236 o 57-3176441845
Conferencista
10/02/2014 2
Tiempo estimado: 60 minutos
0 -
BIENVENIDOS
Por favor presntese, mencione sus expectativas de la conferencia
Conferencia
!
0 -
Propsitos de la Conferencia
10/02/2014 4
Proveer el conocimiento y entendimiento acerca de COBIT que permita: Identificar la diferencia entre Gobierno y Gestin de
Tecnologa de la Informacin (TI) Comprender la estructura de COBIT 5 Presentar los dems productos de la familia COBIT 5 Presentar la direccin de ISACA respecto a COBIT 5
0 -
Conceptos: Gobierno, COBIT 4.1
COBIT 5
COBIT 5 for Assurance
Agenda de la Conferencia
0 -
El marco de trabajo de COBIT est basado sobre la premisa que TI necesita entregar la informacin que una empresa requiere para alcanzar sus objetivos
i
Recursos y procesos de TI
Informacin
Procesos de negocio
Objetivos de negocios
Brindan
Para
Para alcanzar
El marco de trabajo de COBIT ayuda a alinear TI con el negocio al enfocarse sobre los requerimientos de informacin del negocio y organizar los recursos de TI. El objetivo es facilitar el gobierno de TI para entregar valor desde TI al mismo tiempo que se administran los riesgos de TI
COBIT 4.1 Premisas
0 -
Orientacin a procesos El administrar los procesos
permitir: contar con vistas individuales
y holsticas de los procesos mejorar la calidad de los
productos enfocarse en el mejoramiento
continuo de los procesos y no en la resolucin de incidentes y problemas
La definicin, asignacin y aceptacin de la propiedad de los procesos, facilitar mantener el control durante los perodos de cambios rpidos o de crisis organizacional
Tener aceptacin general entre las organizaciones
Definir un lenguaje comn
Ayudar a alcanzar los requerimientos regulatorios
Brindar un enfoque fuerte en el negocio
Asegurar la orientacin a procesos
Marco de trabajo
COBIT 4.1 Orientado a Procesos
0 -
La estructura de COBIT 4.1
Objetivos de
Control
Prcticas de Control
Pruebas al Diseo de los Controles
Actividades clave
reas Funcionales (Roles de participacin)
Modelos de Madurez
Medidas de resultados
Indicadores de desempeo
Objetivos del Negocio Requerimientos Informacin
Implem
entados con
Medidos
por Comparados mediante
Diagrama RACI
Pruebas a los Resultados del Control
Derivadas de
Basados en
Objetivos de TI
Procesos de TI
Entradas y Salidas Objetivos
0 -
OBJETIVOS DEL NEGOCIO OBJETIVOS DE GOBIERNO
Eficiencia
Aplicaciones Informacin Infraestructura Personas
ENTREGAR Y DAR SOPORTE
MONITOREAR Y EVALUAR
ADQUIRIR E IMPLEMENTAR
INFORMACION
RECURSOS DE TI
MARCO DE TRABAJO C O B I T
Efectividad Confidencialidad
Integridad
Disponibilidad Cumplimiento
PLANEAR y ORGANIZAR
Confiabilidad
DS1 Definir y administrar niveles de servicios.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeo y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.
DS6 Identificar y asignar costos. DS7 Educar y entrenar a los usuarios. DS8 Administrar la mesa de servicio y
los incidentes. DS9 Administrar la configuracin. DS10 Administrar los problemas. DS11 Administrar los datos. DS12 Administrar el ambiente fsico. DS13 Administrar las operaciones.
ME1 Monitorear y evaluar el desempeo de TI.
ME2 Monitorear y evaluar el control interno.
ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.
PO1 Definir el plan estratgico de TI. PO2 Definir la arquitectura de la
informacin. PO3 Determinar la direccin
tecnolgica. PO4 Definir procesos, organizacin y
relaciones de TI. PO5 Administrar la inversin en TI. PO6 Comunicar la direccin y melas
aspiraciones y la direccin de la gerencia.
PO7 Administrar recursos humanos de TI. PO8 Administrar calidad. PO9 Evaluar y administrar riesgos de TI. PO10 Administrar proyectos.
AI1 Identificar soluciones automatizadas.
AI2 Adquirir y mantener el software aplicativo.
AI3 Adquirir y mantener la infraestructura tecnolgica.
AI4 Facilitar la operacin y el uso. AI5 Adquirir recursos de TI. AI6 Administrar cambios. AI7 Instalar y acreditar soluciones y
cambios.
Marco de Trabajo de COBIT 4.1
0 -
Las actividades de gobierno de TI pueden ser agrupadas en las siguientes cinco reas de enfoque:
Alineamiento Estratgico
Administracin de Riesgos
Administracin de Recursos
Medicin del Desempeo
Entrega de Valor $
Gobierno de TI reas de Enfoque
0 -
El gobierno corporativo es un conjunto de responsabilidades y prcticas ejecutadas por la junta directiva y la gerencia ejecutiva con el objetivo de:
Proveer direccin estratgica. Asegurar el logro de los objetivos. Establecer que los riesgos se administran adecuadamente. Verificar que los recursos de la empresa se utilizan
responsablemente.
Qu es Gobierno Corporativo?
0 -
Gobierno de TI es parte del gobierno corporativo.
Se define como la estructura de relaciones y procesos para dirigir y controlar la empresa hacia el logro de sus objetivos por medio de agregar valor al mismo tiempo que se logra un balance del riesgo versus el retorno sobre la TI y sus procesos.
Riesgo Versus Retorno
Qu es Gobierno de TI?
0 -
La Junta Directiva y la Gerencia Ejecutiva son responsables del gobierno de TI, el cual involucra estructuras y procesos que dirigen la organizacin hacia el logro de sus objetivos.
Dirigir y Controlar
Rendicin de Cuentas
Actividades
Responsabilidad
Principios de Gobierno de TI
0 -
Las reas de TI deben ser capaces de responder las siguientes preguntas (Cuatro Estamos)
La pregunta de Arquitectura
La pregunta de Valor
La pregunta de Entrega
La pregunta Estratgica
Estamos logrando que se hagan bien
Estamos obteniendo los beneficios?
Estamos haciendo las cosas correctas?
Estamos haciendo las cosas de la forma adecuada?
Los 4 Estamos
0 -
Conceptos: Gobierno, COBIT 4.1
COBIT 5
COBIT 5 for Assurance
Agenda de la Conferencia
0 -
Gobierno de la TI Empresarial (Governance of Enterprise IT) Gobierno Empresarial de TI
COBIT 5
Gobierno de TI (IT Governance)
COBIT4.0/4.1
Val IT 2.0 (2008)
Risk IT (2009)
BMIS (2010)
La evolucin de COBIT 5
Gestin (Management)
COBIT3
Control
COBIT2
Auditora
COBIT1
2005/7 2000 1998
Evo
luci
n
1996 2012
0 -
Integrar y reforzar marcos de referencia y guas ms importantes de ISACA en COBIT
Contar con un marco de referencia renovado y con la autoridad necesaria para el gobierno y la gestin de la informacin empresarial y las tecnologas relacionadas
Alinear con los principales marcos de referencia y estndares
Por qu desarrollar COBIT 5?
0 -
Proporcionar orientacin en: Arquitectura empresarial Gestin de activos y de servicios Nuevas maneras de adquisicin de recursos y
modelos empresariales Innovacin y nuevas tecnologas
La necesidad de cubrir todos los aspectos del negocio y las responsabilidades funcionales de TI
Razones para desarrollar un Marco de Referencia
0 -
Familia de productos
0 -
COBIT 5 se basa en: 5 principios y 7 catalizadores
Estructura de COBIT 5
0 -
0 -
Principio 1: Satisfacer las necesidades de las partes interesadas
La cascada de metas de COBIT 5 permite la definicin de prioridades para Implementacin Mejora Aseguramiento del
gobierno empresarial de TI
0 -
COBIT 5 abarca el gobierno y la gestin de la informacin y tecnologa relacionada desde una perspectiva empresarial de extremo a extremo
COBIT 5: Integra el gobierno empresarial de TI con el gobierno
corporativo Cubre todas las funciones y procesos dentro de la empresa No se enfoca slo en la funcin de TI
Principio 2: Cubrir la empresa de extremo a extremo
0 -
COBIT 5: Se alinea con estndares y marcos de referencia ms
recientes y pertinentes Integra todo el conocimiento hasta ahora disperso en
diferentes marcos de referencia de ISACA Es completo en la cobertura de la empresa
Principio 3: Aplicar un marco de referencia nico integrado
0 -
COBIT 4.1 Objetivos de
Control
VAL IT 2.0 Prcticas Claves de Gestin
RISK IT Prcticas de Gestin
COBIT 5 Prcticas de Gobierno y de Gestin
0 -
Cobertura de COBIT 5
0 -
Otros Marcos de Referencia de Gobierno de TI
COSO
COBIT
ISO 27002 ISO 9000
ITIL
Qu? Cmo?
Alcance
0 -
Dnde encaja COBIT? Conductores (Razn)
Gobierno Empresarial
Gobierno de TI
Mejores prcticas
Procesos y procedimientos
DESEMPEO Objetivos del Negocio
CONFORMIDAD (CUMPLIMIENTO) Basileal II, Sarbanes-Oxley Act, y otros.
COSO
COBIT
ISO/IEC 20000 Gestin del Servicio
Principios de Seguridad
Procedimientos de Calidad
Principios de Administracin de Servicios de TI (ITIL)
ISO/IEC 27002 Gestin de Seguridad de la Informacin
ISO/IEC 9001:2000 Gestin de la Calidad
Balanced Scorecard
0 -
COBIT 5 define un conjunto de catalizadores para apoyar la implementacin del gobierno y la gestin de TI. Los catalizadores de COBIT 5 son: Los factores que individual y colectivamente influyen en el
logro de los objetivos Impulsados por la cascada de metas Descritos por el marco de referencia de COBIT en siete
categoras
Principio 4: Hacer posible un enfoque holstico
0 -
0 -
Dimensiones de los catalizadores de COBIT 5
0 -
Propsito: Transmitir la direccin y las instrucciones del rgano de gobierno y de gestin.
Son instrumentos para comunicar las normas de la empresa, en apoyo de los objetivos de gobierno y los valores de la empresa segn lo definido por el Consejo de Administracin y la Direccin Ejecutiva
Principios, Polticas y Marcos de Referencia
0 -
Procesos Gobierno y Gestin
0 -
Los procesos tienen partes interesadas internas y externas, cada una con sus propios roles;
Las partes interesadas y sus niveles de responsabilidad estn documentadas en las matrices RACI.
Entre las partes interesadas externas se incluyen a los clientes, socios comerciales, accionistas y reguladores.
Entre las internas se incluyen el Consejo de Administracin, la direccin, empleados y voluntarios
0 -
Metas intrnsecas: El proceso dispone de la calidad intrnseca? Es preciso y est alineado con las buenas prcticas? Cumple con las reglas externas e internas?
Metas contextuales: El proceso se particulariza y se adapta a la situacin especfica de la empresa? Es relevante, comprensible y fcil de adaptar?
Seguridad y Acceso: El proceso se mantiene confidencial, y cuando se requiere, est a disposicin de quin tiene la necesidad
0 -
0 -
Las buenas prcticas de una estructura organizativa se distinguen por: Principios de funcionamiento El alcance del control Nivel de autoridad La delegacin de responsabilidad Procedimientos de escalamiento
Catalizador 3: Estructuras Organizativas
0 -
Las buenas prcticas para crear, fomentar y mantener un comportamiento deseado en toda la empresa incluyen: Comunicacin de la conducta deseada y los valores corporativos en
toda la empresa Conocimiento de la conducta deseada, fortalecido con el ejemplo de
la alta direccin Incentivos para alentar y los elementos de disuasin para hacer
cumplir el comportamiento deseado
Catalizador 4: Cultura, tica y Comportamiento
0 -
Catalizador 5 - Informacin Criterio de Informacin
Significado Corresponde a los siguientes objetivos de Calidad
Efectividad Informacin relevante y pertinente para los procesos de negocio, adems de ser entregada en forma oportuna, correcta, consistente y utilizable
Cantidad apropiada Relevante Comprensible Que pueda ser interpretada Objetiva
Eficiencia Se refiere a la provisin de informacin a travs del ptimo ms productivo y econmico uso de los recursos
Accesibilidad Facilidad de operacin
Confidencialidad Se refiere a la proteccin de la informacin sensible contra divulgacin no autorizada
Acceso restringido de informacin
Integridad Se refiere a la exactitud de la informacin, as como su validez de acuerdo con los valores empresariales y las expectativas
Completa Exacta
Disponibilidad Se refiere a la informacin que est disponible, cuando sea requerido por el proceso de negocio, en el presente y en el futuro. Tambin se refiere a la salvaguardia de los recursos y capacidades necesarias asociadas
Cumplimiento (conformidad)
En el sentido de que la informacin debe cumplir con las especificaciones
Confiabilidad (reliability)
Informacin en la que se puede confiar Credibilidad Reputacin Objetividad
0 -
Posibles usos del Modelo de Informacin Establecer especificaciones de informacin Definir el nivel de proteccin requerido Determinar la facilidad de uso de datos
Catalizador 5 - Informacin
0 -
0 -
Son buenas prcticas y guas que rigen la implementacin y utilizacin de los recursos relacionados con TI dentro de la empresa
Servicios / Infraestructura / Aplicaciones
Principios de Arquitectura
0 -
Identificar las buenas prcticas de las personas, las habilidades y competencias, especficamente: Describir los diversos niveles de habilidad requeridos para
las diferentes funciones Definir requerimientos de habilidades para cada funcin Asignar categoras de habilidades para cada dominio de
proceso de COBIT 5 (APO, BAI, etc.)
Personas, Habilidades y Competencias
0 -
0 -
Principio 5: Separar el gobierno de la gestin
0 -
Familia de Productos COBIT 5
10/02/2014 46
Un Marco de Referencia para el
Gobierno y la Gestin de la TI Empresarial
Habilitando los Procesos
El proceso EDM02 Asegurar la Entrega de Beneficios es utilizado para realizar un
recorrido (Walk Through) por la Gua
Habilitando la Informacin
Implementacin
0 -
Familia de Productos COBIT 5
10/02/2014 47
COBIT 5 for Information Security
COBIT 5 for Assurance
COBIT 5 for Risk
0 -
Familia de Productos COBIT 5
10/02/2014 48
Modelo de Valoracin (Evaluacin) de Procesos (PAM): Usando COBIT 5
Gua complementaria acerca de la Capacidad de Procesos con extractos de PAM para COBIT
Gua del Valorador (Evaluador):
Usando COBIT 5
Gua de Auto-Valoracin
(Evaluacin): Usando COBIT 5
Modelo de Valoracin
(Evaluacin) de Procesos (PAM):
Usando COBIT 4.1
0 -
Familia de Productos COBIT 5
10/02/2014 49
Gestin de la Configuracin
Usando COBIT 5
Transformando la Ciberseguridad Usando COBIT 5
Asegurando Dispositivos Mviles Usando COBIT 5 para
la Seguridad de la Informacin
0 -
Entrenamiento en COBIT 5
0 -
Formato del examen: En lnea 50 preguntas seleccin mltiple 25 respuestas correctas requeridas para aprobar (50%) 40 minutos A libro cerrado
Preparacin para el examen: Auto-estudio Cursos de preparacin Simulacros
El examen de Certificacin
0 -
ISACA considera que el enfoque del Programa de Evaluacin de COBIT 5 es un mtodo de evaluacin de capacidad de procesos ms robusto, confiable y repetible
El Programa de Evaluacin de COBIT soporta: Evaluaciones formales por evaluadores acreditados Autoevaluaciones menos rigurosas para anlisis de brechas
internas y la planeacin de la mejora de los procesos
Potencialmente permite a una empresa obtener evaluaciones independientes y certificadas alineadas con la norma ISO/IEC 15504
Evaluaciones de capacidad de procesos
10/02/2014 52
0 - 10/02/2014 53
0 -
El Programa de Evaluacin de COBIT incluye: COBIT Process Assessment Model (PAM) Using
COBIT 4.1 & 5 o Sirve como un documento de referencia base para la
realizacin de una evaluacin de la capacidad de los procesos actuales de TI en una organizacin contra COBIT
COBIT Assessors Guide using COBIT 4.1 & 5 o Proporciona detalles sobre cmo llevar a cabo una completa
evaluacin completa del cumplimiento de la norma ISO
COBIT Self Assessment Guide Using COBIT 4.1 & 5 o Provee gua sobre cmo llevar a cabo una auto-evaluacin
bsica de los niveles de capacidad de los procesos actuales de TI de una organizacin usando como referencia los procesos de COBIT
En qu consiste el Programa de Evaluacin?
10/02/2014 54
0 -
Alineamiento Modelamiento de Procesos Comparacin COBIT 4.1 y COBIT 5 Mapeo con otros Frameworks
Ejercicios